Компьютер просит отправить смс? Вирус-попрошайка добрался и до вас? Вам сюда! [внешний сервис]

Страницы :   Пред.  1 2 3 ... 5 6 7 ... 26 27 28  След.
Автор Сообщение
on-line

Стаж: 15 лет
Сообщений: 126

Создавать темы on-line написал(а)
15-Янв-2010 14:46
Сегодня опять загрузился ентот розовый порнобаннер! (Вероятно он "проснулся" из-за того что я откатил вчера перед выключением компа uTorrent с версии 1.8.4 на 1.8.2 из-за волнообразной отдачи). Причем он уже настолько обнаглел, что стал блокировать не только диспетчер задач, но и даже браузер, и блокировал выключение и перезагрузку.
Честно говоря я обрадовался! Во мне проснулся азарт, это уже стало интересно am ! Не стал больше следовать ничьим советам и быстро сам его вычислил. Вот он, во всей красе, красавчЕГ:
На центральной картинке девушки лижут зеленое мороженое, а вы что подумали? ap
Извиняюся перед любителями клубнички - пришлось подвергуть его цензуре, во избежание бана ag )))
А так он выглядит, если нажать на Суппорт в центре баннера:
Вредоносный файл который нужно убрать лежит здесь: C: --> Program Files --> plugin.exe (почему-то не могу здесь нормально прописать путь, ну и так вроде понятно)
Убирается с компа он просто (у меня ХР, пишу подробно для тех у кого мало опыта в таких делах, так что опытные юзеры - не плюйтесь в мою сторону, не все же знают как это делается):
1) Надо перезагрузиться в безопасный режим (мне для этого потребовалось нажать "сброс" на системном блоке, потому что баннер блокировал перезагрузку). Для тех кто не знает как загрузиться в безопасный режим: при включении компьютера ритмично постукиваем по клавише F8 до тех пор, пока не появится меню выбора загрузок. Затем выбираем самую верхнюю строчку - Безопасный режим. Потом комп пару раз будет спрашивать, нажимаем оба раза "да"(клавиша Enter).
2)Когда откроется рабочий стол, правой кнопкой мышы нажимаем на кнопку "Пуск" и потом на вкладке появившегося меню на проводник. В открывшемся окне открываем папку Program Files и ищем среди других папок файл plugin.exe и удаляем его. Выглядит это вот так:
3) Опять перезагружаемся в обычный режим. Баннера больше нет, но осталась запись в автозагрузке, удаляем её.
Дальше я все делал с помощью программы CCleaner:
Вероятно эту операцию придётся повторить два раза!
4) затем чистим реестр:
5) и выполняем очистку от мусорных файлов:
Вот и все!
P.S.: этот файл маскировался под декодер Nero, поэтому я его раньше не трогал.
И ещё: при желании наверное можно удалить его не перезагружаясь в безопасный режим (я забыл попробовать этот вариант), если будет сопротивляться - воспользуйтесь программой Unlocker


Последний раз редактировалось: on-line (2010-01-15 15:31), всего редактировалось 4 раз(а)
Профиль  ЛС 
Keine

Стаж: 15 лет
Сообщений: 94
Откуда: USSR

Создавать темы Keine написал(а)
15-Янв-2010 14:53 (спустя 6 минут)
on-line
Спасиб, вовремя выложил и оооооооочень доступным языком !!!
Профиль  ЛС 
on-line

Стаж: 15 лет
Сообщений: 126

Создавать темы on-line написал(а)
15-Янв-2010 17:39 (спустя 2 часа 45 минут)
Если баннер не такой как я описывал в предыдущем моем посте, то нейтрализовать его чтобы он не мозолил вам глаза, вероятно можно выполнив следующее:
В пункте 3) в автозагрузке ищем подозрительный по вашему мнению файл и отключаем его. Пока только выключаем, не удаляем!!! После этого перезагружаемся в обычном режиме и смотрим - пропал баннер или нет. Если не пропал, значит это был не он, тогда опять лезем в автозагрузку и обратно включаем тот файл, который перед этим выключали. Затем выключаем следующий файл и опять перезагружаемся и проверяем. Так по очереди можно перепроверить все файлы в автозагрузке и методом исключения вычислить - который из них вредоносный. Эта запись в автозагрузке - по сути путь котрый указывает - где находится сам вредоносный файл. Найдите его и удалите (если у вас мало опыта, то рекомендую сначала скопировать файл куда-нибудь, чтобы в случае ошибки можно было опять его скопировать на свое место). Затем надо будет выполнить пункты 4) и 5). Переделывать скрины взятые из предыдущего поста не буду, надеюсь всё поймете. Будьте осторожны! Если не уверены - не удаляйте запись в автозагрузке!
on-line
3) Дальше я все делал с помощью программы CCleaner:
Вместо кнопки "удалить" нажимаем выключить!
Вероятно эту операцию придётся повторить два раза! (это в случае, если будете удалять запись)
4) затем чистим реестр:
5) и выполняем очистку от мусорных файлов:
Сам я это не проверял, но, имхо, это должно помочь. Удачи!
Профиль  ЛС 
anti0

Стаж: 16 лет
Сообщений: 13
Откуда: Russia

Создавать темы anti0 написал(а)
15-Янв-2010 20:57 (спустя 3 часа)
Firestarter Да что там научить то , если диспетчером задач умеешь пользоватся - то и им сможешь - практически то же самое только более продвинуто
Профиль  ЛС 
velogon

Стаж: 15 лет
Сообщений: 31
Откуда: Уфа

Создавать темы velogon написал(а)
15-Янв-2010 22:30 (спустя 1 час 32 минуты)
Я решил эту проблему просто проверил на вирус комп он нашол 2 вируса взял удалил их и всё!
Профиль  ЛС 
on-line

Стаж: 15 лет
Сообщений: 126

Создавать темы on-line написал(а)
16-Янв-2010 08:24 (спустя 9 часов)
velogon
Я решил эту проблему просто проверил на вирус комп он нашол 2 вируса взял удалил их и всё!
Если бы было все так просто, то эту тему не создавали бы.
То что было у меня не видит ни один популярный антивирусник. Я проверял. Антивирусники с обновлением в режиме on-line и с легальными ключами.
Keine
on-line
Спасиб, вовремя выложил и оооооооочень доступным языком !!!
Не за что. Помогло или нет?
Профиль  ЛС 
Firestarter

Стаж: 15 лет
Сообщений: 36
Откуда: Russia

Создавать темы Firestarter написал(а)
16-Янв-2010 08:27 (спустя 3 минуты)
он-лайн,я даже не буду говорить какой порнобаннер,потомучто аналогичный твоему.А более легкий способ ненайдется случаем?
Профиль  ЛС 
on-line

Стаж: 15 лет
Сообщений: 126

Создавать темы on-line написал(а)
16-Янв-2010 09:24 (спустя 57 минут)
Firestarter
Более легкий и универсальный способ взятый с одного из сайтов с внешки мне помог только временно и ещё к тому же убил языковую панель на рабочем столе.
Но на самом-то деле описанный мною выше способ из трёх пунктов про отключение записи в автозагрузке при помощи CCleaner только кажется заморочным. На самом деле стоит только начать, там все несложно. После того как немного поработаешь с этой прогой (если не имел с ней дела раньше) то самое заморочное в этом будет - ждать когда компьютер перезагрузится. Если не уверен - какая прога из появившегося списка вредоносная, то выключай их по очереди. У меня эта зараза стояла в самом конце списка. И что в этом самое удобное - там в записи указан путь - где и в какой папке стоит эта прога. Потом просто находишь её по этому пути и просто удаляешь.
on-line
В пункте 3) в автозагрузке ищем подозрительный по вашему мнению файл и отключаем его. Пока только выключаем, не удаляем!!! После этого перезагружаемся в обычном режиме и смотрим - пропал баннер или нет. Если не пропал, значит это был не он, тогда опять лезем в автозагрузку и обратно включаем тот файл, который перед этим выключали. Затем выключаем следующий файл и опять перезагружаемся и проверяем. Так по очереди можно перепроверить все файлы в автозагрузке и методом исключения вычислить - который из них вредоносный. Эта запись в автозагрузке - по сути путь котрый указывает - где находится сам вредоносный файл. Найдите его и удалите (если у вас мало опыта, то рекомендую сначала скопировать файл куда-нибудь, чтобы в случае ошибки можно было опять его скопировать на свое место). Затем надо будет выполнить пункты 4) и 5). Переделывать скрины взятые из предыдущего поста не буду, надеюсь всё поймете. Будьте осторожны! Если не уверены - не удаляйте запись в автозагрузке!
Да, забыл сказать! Если найдешь все-таки нужную запись в автозагрузке и после её отключения и перезагрузки баннер перестанет появляться, откроешь опять автозагрузку, запись этого файла в выключенном виде будет полупрозрачной, пройдешь по укзанному ею пути, найди этот файл и, ВНИМАНИЕ!!! Попробуй открыть этот файл! Если опять появится баннер - значит ты на верном пути и правильно вычислил этот файл! Не бойся этого делать - после перезагрузки баннер опять исчезнет, потому что в автозагрузке он будет уже выключен.
Неудобство в этом способе - баннер заслоняет окно проги CCleaner, приходится то двигать его вправо, влево, то открывать его во весь экран, то делать маленьким окошком, в общем, приходится изворачиваться.
P.S.: Если не можешь установить CCleaner на комп в обычном режиме из-за баннера, попробуй установить её в безопасном режиме
Профиль  ЛС 
Keine

Стаж: 15 лет
Сообщений: 94
Откуда: USSR

Создавать темы Keine написал(а)
16-Янв-2010 14:48 (спустя 5 часов)
on-line
да помогло, потом полную проверку ещё сделал на всякий случай. НО терь комп стал очень медленный (((.
Профиль  ЛС 
on-line

Стаж: 15 лет
Сообщений: 126

Создавать темы on-line написал(а)
16-Янв-2010 15:25 (спустя 36 минут)
Keine
Не знаю что и сказать... У меня после удаления описанным выше способом все прекрасно работает, практически - "летает"
Профиль  ЛС 
ARXANGEL

Стаж: 16 лет
Сообщений: 5
Откуда: Russia

Создавать темы ARXANGEL написал(а)
17-Янв-2010 07:21 (спустя 15 часов)
[quote="Firestarter"]он-лайн,я даже не буду говорить какой порнобаннер,потомучто аналогичный твоему.А более легкий способ ненайдется случаем?самый легкий способ это перевести дату на 30 дней вперед)) по крайней мере перестанет мозолить глаза и можно спокойно удалять ab
Профиль  ЛС 
login=Принять

Стаж: 14 лет
Сообщений: 1

Создавать темы login=Принять написал(а)
17-Янв-2010 08:13 (спустя 52 минуты)
Отправил смс-сняли бабки(
Профиль  ЛС 
Sadrik

Стаж: 15 лет
Сообщений: 37
Откуда: Russia

Создавать темы Sadrik написал(а)
17-Янв-2010 08:49 (спустя 35 минут)
login=Принять
на те деньги что сняли, наверное, минимум клавиатуру купить можно?
Профиль  ЛС 
eHasz

Стаж: 15 лет
Сообщений: 91

Создавать темы eHasz написал(а)
17-Янв-2010 09:11 (спустя 22 минуты)
plugin.exe
видел его на той неделе. он попался на страницах музыки, так что мажтесь теперь так)) девушка качала музыку детскую на работе, схватила его не знай где. хотела в отчаянии смс отправлять)))) потому что организация - ГОУ ВПО
диспетчер задач было нельзя вытащить, так что пришлось устанавливать ccleaner, отключил подозрительные объекты, тем самым вычислил plugin.exe, в реестре покопавшись нашел записи shell32 вместе с еще одним объектом, только забыл как называется. у себя же на компе недавно нашел странные папки Cmedia и FieryAds, вспомнил, что лазил по ссылкам порно, выскочило сообщение про вирус от KIS7, но видать интернет сеньюрити установиться вирусу не дал, так как удалились папки без проблем. иначе только анлокером или авзтулом удаляется (в теории)
Профиль  ЛС 
on-line

Стаж: 15 лет
Сообщений: 126

Создавать темы on-line написал(а)
17-Янв-2010 12:19 (спустя 3 часа)
ARXANGEL
самый легкий способ это перевести дату на 30 дней вперед)) по крайней мере перестанет мозолить глаза и можно спокойно удалять ab
Да, это в принципе, действительно самый легкий способ. Но только если во вредоносном файле действительно заложен счетчик времени. Вполне вероятно что автор не особо упирался на этот счет при написании программы. Зачем ему это нужно? Его первейшая цель - срубить бабки хотя бы с какого-то процента "заразившихся" юзеров. И это, думаю, немалая сумма. И там может статься что хоть рупь отсылай, хоть мульон, может даже и смс с кодом не придет. Главное ему - чтоб вы деньги отослали в тот период пока на очередную версию его проги управу не найдут, а там - сами разбирайтесь со своим компом, хоть сносите все и переустанавливайте, ему пофиг. Затем он напишет новую версию и т.д. Неплохой бизнес. Очень хочется чтобы киберполиция (или как там её называют?) научилась-таки быстро находить этих хитрозадых придурков
Sadrik
на те деньги что сняли, наверное, минимум клавиатуру купить можно?
Побольше. Я слышал - когда 400, когда 500-600. Точную цифру никто сказать не мог, потому что у всех при этом счет уходил в глубокий минус и ответная смс-ка не приходила
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 25-Ноя 20:57
Часовой пояс: UTC + 5